United States Computer Emergency Readiness Team (US-CERT)は8月20日(米国時間)、「2020 CWE Top 25 Most Dangerous Software Weaknesses|CISA」において、アメリカ合衆国国土安全保障省システムエンジニアリングおよび開発機関(HSSEDI: Homeland Security Systems Engineering and Development Institute)から、2020年Common Weakness Enumeration (CWE:共通脆弱性タイプ一覧)におけるソフトウェアに深刻な被害をもたらすおそれがある脆弱性トップ25が発表されたと伝えた。攻撃者はこうした脆弱性を悪用して影響を受けるシステムを制御したり、機密情報を窃取したり、サービス妨害攻撃(DoS: Denial of Service attack)を仕掛けたりすると説明している。
脆弱性に関する情報は次のページにまとまっている。
-
CWE - 2020 CWE Top 25 Most Dangerous Software Weaknesses
HSSEDIが報告しているトップ25は次のとおり。
- CWE-79 - Webページ生成中の入力データの不適切な処理(クロスサイトスクリプティング)
- CWE-787 - 範囲外の書き込み
- CWE-20 - 不適切な入力検証
- CWE-125 - 範囲外の読み取り
- CWE-119 - メモリバッファ境界内での不適切な処理制限
- CWE-89 - SQLコマンドで使用される特殊要素の不適切な処理(SQLインジェクション)
- CWE-200 - 権限を持たないユーザへの機密情報の漏洩
- CWE-416 - 解放したメモリの使用
- CWE-352 - クロスサイトリクエストフォージェリ(CSRF)
- CWE-78 - OSコマンドで使用される特殊要素の不適切な処理(OSコマンドインジェクション)
- CWE-190 - 整数オーバーフローまたはラップアラウンド
- CWE-22 - 制限されたディレクトリに対する不適切なパス名制限(パストラバーサル)
- CWE-476 - NULLポインター逆参照
- CWE-287 - 不適切な認証
- CWE-434 - 危険なタイプのファイルのアップロード許可
- CWE-732 - 重要なリソースの不正な権限割り当て
- CWE-94 - 不適切な制御コード生成(コードインジェクション)
- CWE-522 - 十分に保護されていない資格情報
- CWE-611 - XML外部エンティティ参照の不適切な制限
- CWE-798 - ハードコードされた資格情報の使用
- CWE-502 - 信頼できないデータの逆シリアル化
- CWE-269 - 不適切な権限管理
- CWE-400 - 制御されていないリソース消費
- CWE-306 - 重要な機能の使用に対する認証の欠如
- CWE-862 - 認証の欠如
Cybersecurity and Infrastructure Security Agency (CISA)はユーザーおよび管理者に対して、トップ25の内容をチェックするとともに、適切な緩和策を適用していくことを推奨している。
